Bidh an artaigil seo feumail dhaibhsan aig a bheil eòlas air teicneòlas Rannsaich: le aithris faidhle (Emulation Cunnart) agus glanadh fhaidhlichean for-ghnìomhach (Extraction Cunnart) agus tha e airson ceum a ghabhail a dh’ ionnsaigh na gnìomhan sin a dhèanamh fèin-ghluasadach. Tha aig Check Point , a bhios a’ ruith an dà chuid san sgòth agus air innealan ionadail, agus gu h-obrachail tha e co-ionann ri bhith a’ sgrùdadh fhaidhlichean ann an sruthan trafaic lìn/smtp/ftp/smb/nfs. Tha an artaigil seo gu ìre mar mhìneachadh an ùghdair air seata artaigilean bho na sgrìobhainnean oifigeil, ach stèidhichte air an eòlas obrachaidh agam fhìn agus na h-eisimpleirean agam fhìn. Cuideachd anns an artaigil gheibh thu cruinneachaidhean Postman an ùghdair airson a bhith ag obair leis an API Prevention Threat.
giorrachaidhean bunaiteach
Bidh an API Bacadh Cunnart ag obair le trì prìomh phàirtean, ris an canar san API tro na luachan teacsa a leanas:
av - Co-phàirt an-aghaidh bhìoras, le uallach airson mion-sgrùdadh ainm-sgrìobhte air bagairtean aithnichte.
te - Co-phàirt emulation bagairt, le uallach airson sgrùdadh a dhèanamh air faidhlichean sa bhogsa gainmhich, agus co-dhùnadh droch-rùnach / neo-àbhaisteach a dhèanamh às deidh aithris.
às-tharraing - Co-phàirt Cunnart Extraction, le uallach airson sgrìobhainnean oifis a thionndadh gu sgiobalta gu cruth sàbhailte (anns am bi a h-uile susbaint a dh’ fhaodadh a bhith droch-rùnach air a thoirt air falbh), gus an lìbhrigeadh gu sgiobalta gu luchd-cleachdaidh / siostaman.
Structar API agus prìomh chuingealachaidhean
Chan eil API Bacadh Cunnart a’ cleachdadh ach 4 iarrtasan − luchdachadh suas, ceist, luchdachadh sìos agus cuota. Anns a’ bhann-cinn airson na ceithir iarrtasan feumaidh tu a dhol seachad air an iuchair API a’ cleachdadh am paramadair Ceadachadh. Aig a 'chiad sealladh, is dòcha gum bi an structar a' coimhead tòrr nas sìmplidh na tha e ann , ach tha an àireamh de raointean anns na h-iarrtasan luchdachadh suas agus ceist agus structar nan iarrtasan sin gu math toinnte. Faodar iad sin a choimeas gu gnìomh ri pròifilean Bacadh Cunnart ann am poileasaidh tèarainteachd geata / bogsa gainmhich.
Aig an àm seo, chaidh an aon dreach den API Bacadh Cunnart fhoillseachadh - 1.0; bu chòir don URL airson gairmean API a bhith a’ toirt a-steach v1 anns a 'phàirt far am feum thu an dreach a shònrachadh. Eu-coltach ris an API Riaghlaidh, feumar an dreach API a chomharrachadh san URL, air neo cha tèid an t-iarrtas a chuir gu bàs.
Chan eil am pàirt Anti-Virus, nuair a thèid a ghairm às aonais co-phàirtean eile (te, às-tharraing), an-dràsta a’ toirt taic do dh’ iarrtasan ceiste le suimean hash md5. Bidh Emulation Threat agus Threat Extraction cuideachd a’ toirt taic do sha1 agus sha256 suimean hash.
Tha e glè chudromach gun a bhith a’ dèanamh mhearachdan ann an ceistean! Faodar an t-iarrtas a chuir gu bàs gun mhearachd, ach chan ann gu tur. A’ coimhead air adhart beagan, leig dhuinn sùil a thoirt air dè as urrainn tachairt nuair a tha mearachdan/typos ann an ceistean.
Iarrtas le typo leis an fhacal aithisgean (aithisgean)
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reportss: ["tar", "pdf", "xml"]
}
}
]
}Cha bhi mearachd sam bith san fhreagairt, ach cha bhi fiosrachadh sam bith ann mu na h-aithisgean idir
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Ach airson iarrtas às aonais typo ann an iuchair na h-aithisg
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
reports: ["tar", "pdf", "xml"]
}
}
]
}Bidh sinn a’ faighinn freagairt anns a bheil id mar-thà airson aithisgean a luchdachadh sìos
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9cc488fa6209caeb201678f8360a6bb806bd2f85b59d108517ddbbf90baec33a",
"file_type": "pdf",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "b684066e-e41c-481a-a5b4-be43c27d8b65",
"pdf_report": "e48f14f1-bcc7-4776-b04b-1a0a09335115",
"xml_report": "d416d4a9-4b7c-4d6d-84b9-62545c588963"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Ma chuireas sinn iuchair API ceàrr/a dh’ fhalbh, gheibh sinn mearachd 403 mar fhreagairt.
SandBlast API: san sgòth agus air innealan ionadail
Faodar iarrtasan API a chuir gu innealan Check Point aig a bheil am pàirt Threat Emulation (lann) air a chomasachadh. Mar sheòladh airson iarrtasan, feumaidh tu ip/url an inneil agus port 18194 a chleachdadh (mar eisimpleir, https://10.10.57.19:18194/tecloud/api/v1/file/query). Bu chòir dhut cuideachd dèanamh cinnteach gu bheil am poileasaidh tèarainteachd air an inneal a 'ceadachadh ceangal mar sin. Ceadachadh tro iuchair API air innealan ionadail gu bunaiteach dheth agus chan fhaod an iuchair Ùghdarrachaidh ann am bann-cinn iarrtasan a bhith air a chur idir.
Bu chòir iarrtasan API gu sgòth CheckPoint a chuir gu te.checkpoint.com (mar eisimpleir - https://te.checkpoint.com/tecloud/api/v1/file/query). Gheibhear an iuchair API mar chead deuchainn airson 60 latha le bhith a’ cur fios gu com-pàirtichean Check Point no oifis ionadail a’ chompanaidh.
Air innealan ionadail, chan eil Threat Extraction fhathast a’ faighinn taic mar ìre àbhaisteach. agus bu chòir a chleachdadh (Bruidhnidh sinn mu dheidhinn nas mionaidiche aig deireadh an artaigil).
Chan eil innealan ionadail a' cur taic ris an iarrtas cuota.
Rud eile, chan eil eadar-dhealachaidhean sam bith eadar iarrtasan gu innealan ionadail agus chun sgòth.
Luchdaich a-nuas API fòn
Dòigh air a chleachdadh - DÈIDH
Seòladh fòn - https:///tecloud/api/v1/file/upload
Tha dà phàirt san iarrtas (dàta cruth): faidhle a thathar an dùil a bhith ag aithris/glanadh agus buidheann iarrtais le teacsa.
Chan fhaod an t-iarrtas teacsa a bhith falamh, ach dh'fhaoidte nach bi rèiteachadh sam bith ann. Gus am bi an t-iarrtas soirbheachail, feumaidh tu co-dhiù an teacsa a leanas a chuir san iarrtas:
Co-dhiù a tha riatanach airson iarrtas luchdachadh suas
POST HTTP
https:///tecloud/api/v1/file/upload
Cinn-cinn:
Ceadachadh:
buidheann
{
"iarrtas": {
}
}
File
File
Anns a 'chùis seo, thèid am faidhle a phròiseasadh a rèir nam paramadairean bunaiteach: co-phàirt - te, dealbhan OS - Win XP agus Win 7, gun a bhith a’ cruthachadh aithisg.
Beachdan air na prìomh raointean san iarrtas teacsa:
ainm faidhle и faidhle_seòrsa Faodaidh tu am fàgail falamh no gun a bhith gan cur idir, leis nach eil seo gu sònraichte feumail nuair a bhios tu a’ luchdachadh suas faidhle. Ann am freagairt API, thèid na raointean sin a lìonadh a-steach gu fèin-ghluasadach stèidhichte air ainm an fhaidhle a chaidh a luchdachadh sìos, agus feumar fhathast am fiosrachadh san tasgadan a sgrùdadh a’ cleachdadh suimean hash md5/sha1/sha256.
Iarrtas eisimpleir le file_name falamh agus file_type
{
"request": {
"file_name": "",
"file_type": "",
}
}feartan - liosta a tha a’ nochdadh an gnìomh a tha a dhìth nuair a thathar a’ giullachd sa bhogsa gainmhich - av (Anti-Virus), te (Threat Emulation), às-tharraing (Threat Extraction). Mura tèid am paramadair seo seachad idir, cha tèid ach am pàirt bunaiteach a chleachdadh - te (Threat Emulation).
Gus sgrùdadh a dhèanamh anns na trì pàirtean a tha rim faighinn, feumaidh tu na co-phàirtean sin a shònrachadh san iarrtas API.
Eisimpleir de iarrtas le sgrùdadh ann an av, te agus às-tharraing
{ "request": [
{
"sha256": {{sha256}},
"features": ["av", "te", "extraction"]
}
]
}Iuchraichean anns an roinn te
ìomhaighean - liosta anns a bheil faclairean le id agus àireamh ath-sgrùdaidh nan siostaman obrachaidh anns an tèid an sgrùdadh a dhèanamh. Tha IDan agus àireamhan ath-sgrùdaidh an aon rud airson a h-uile inneal ionadail agus an sgòth.
Liosta de shiostaman obrachaidh agus ath-sgrùdaidhean
ID Ìomhaigh OS ri fhaighinn
Revision
Ìomhaigh OS agus Iarrtas
e50e99f3-5963-4573-af9e-e3f4750b55e2
1
Microsoft Windows: XP - 32 bit SP3
Oifis: 2003, 2007
Adobe Acrobat Reader: 9.0
Flash player 9r115 agus ActiveX 10.0
Ùine ruith Java: 1.6.0u22
7e6fe36e-889e-4c25-8704-56378f0830df
1
Microsoft Windows: 7 - 32bit
Oifis: 2003, 2007
Adobe Acrobat Reader: 9.0
Flash Player: 10.2r152 (Dèan ceangal& ActiveX)
Ùine ruith Java: 1.6.0u0
8d188031-1010-4466-828b-0cd13d4303ff
1
Microsoft Windows: 7 - 32bit
Oifis: 2010
Adobe Acrobat Reader: 9.4
Flash Player: 11.0.1.152 (Dèan ceangal & ActiveX)
Ùine ruith Java: 1.7.0u0
5e5de275-a103-4f67-b55b-47532918fa59
1
Microsoft Windows: 7 - 32bit
Oifis: 2013
Adobe Acrobat Reader: 11.0
Flash Player: 15 (Dèan ceangal & ActiveX)
Ùine ruith Java: 1.7.0u9
3ff3ddae-e7fd-4969-818c-d5f1a2be336d
1
Microsoft Windows: 7 - 64bit
Oifis: 2013 (32 bit)
Adobe Acrobat Reader: 11.0.01
Flash Player: 13 (Dèan ceangal & ActiveX)
Ùine ruith Java: 1.7.0u9
6c453c9b-20f7-471a-956c-3198a868dc92
1
Microsoft Windows: 8.1 - 64bit
Oifis: 2013 (64 bit)
Adobe Acrobat Reader: 11.0.10
Flash Player: 18.0.0.160 (Dèan ceangal & ActiveX)
Ùine ruith Java: 1.7.0u9
10b4a9c6-e414-425c-ae8b-fe4dd7b25244
1
Microsoft Windows: 10
Oifis: Proifeiseanta Plus 2016 an-diugh
Adobe Acrobat Reader: DC 2015 MUI
Flash Player: 20 (Dèan ceangal & ActiveX)
Ùine ruith Java: 1.7.0u9
Mura h-eil iuchair nan ìomhaighean air a shònrachadh idir, thèid aithris a dhèanamh ann an ìomhaighean a mhol Check Point (Win XP agus Win 7 an-dràsta). Tha na h-ìomhaighean seo air am moladh stèidhichte air beachdachadh air a’ chothromachadh as fheàrr de choileanadh agus ìre glacaidh.
aithisgean - liosta de na h-aithisgean a dh’ iarras sinn air eagal ’s gum bi am faidhle droch-rùnach. Tha na roghainnean a leanas rim faighinn:
-
Geàrr-chunntas - tasglann .tar.gz anns a bheil aithisg air aithris le do na h-uile ìomhaighean iarraidh (an dà chuid duilleag html agus co-phàirtean leithid bhidio bhon emuladair OS, dump trafaic lìonra, aithisg ann an json, agus an sampall fhèin ann an tasglann fo dhìon facal-faire). Tha sinn a’ coimhead airson an iuchair anns an fhreagairt - geàrr-chunntas_aithisg airson an aithisg a luchdachadh sìos às deidh sin.
-
pdf - sgrìobhainn mu emulation ann aon ìomhaigh, a tha mòran eòlach air faighinn tron Console Smart. Tha sinn a’ coimhead airson an iuchair anns an fhreagairt - aithisg_ pdf airson an aithisg a luchdachadh sìos às deidh sin.
-
xml - sgrìobhainn mu emulation ann aon ìomhaigh, goireasach airson paramadairean san aithisg a pharsadh às deidh sin. Tha sinn a’ coimhead airson an iuchair anns an fhreagairt - xml_aithisg airson an aithisg a luchdachadh sìos às deidh sin.
-
tarra - tasglann .tar.gz anns a bheil aithisg air aithris ann an aon ìomhaighean iarraidh (an dà chuid duilleag html agus co-phàirtean leithid bhidio bhon emuladair OS, dump trafaic lìonra, aithisg ann an json, agus an sampall fhèin ann an tasglann fo dhìon facal-faire). Tha sinn a’ coimhead airson an iuchair anns an fhreagairt - làn_aithisg airson an aithisg a luchdachadh sìos às deidh sin.
Dè tha taobh a-staigh geàrr-chunntas na h-aithisg
Tha na h-iuchraichean full_report, pdf_report, xml_report anns an fhaclair airson gach OS
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9e6f07d03b37db0d3902bde4e239687a9e3d650e8c368188c7095750e24ad2d5",
"file_type": "html",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "8d18067e-b24d-4103-8469-0117cd25eea9",
"pdf_report": "05848b2a-4cfd-494d-b949-6cfe15d0dc0b",
"xml_report": "ecb17c9d-8607-4904-af49-0970722dd5c8"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "d7c27012-8e0c-4c7e-8472-46cc895d9185",
"pdf_report": "488e850c-7c96-4da9-9bc9-7195506afe03",
"xml_report": "e5a3a78d-c8f0-4044-84c2-39dc80ddaea2"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Ach an iuchair summary_report - tha aon ann airson aithris san fharsaingeachd
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "d57eadb7b2f91eea66ea77a9e098d049c4ecebd5a4c70fb984688df08d1fa833",
"file_type": "exe",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"full_report": "c9a1767b-741e-49da-996f-7d632296cf9f",
"xml_report": "cc4dbea9-518c-4e59-b6a3-4ea463ca384b"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
},
{
"report": {
"verdict": "malicious",
"full_report": "ba520713-8c0b-4672-a12f-0b4a1575b913",
"xml_report": "87bdb8ca-dc44-449d-a9ab-2d95e7fe2503"
},
"status": "found",
"id": "6c453c9b-20f7-471a-956c-3198a868dc92",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"summary_report": "7e7db12d-5df6-4e14-85f3-2c1e29cd3e34",
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Faodaidh tu aithisgean teàrr is xml agus pdf iarraidh aig an aon àm, faodaidh tu geàrr-chunntas agus teàrr agus xml iarraidh. Cha bhith e comasach geàrr-chunntas agus pdf iarraidh aig an aon àm.
Iuchraichean anns an roinn às-tharraing
Airson às-tharraing bagairt, chan eil ach dà iuchair air an cleachdadh:
dòigh - pdf (tionndaidh gu pdf, air a chleachdadh gu bunaiteach) no glan (glanadh susbaint gnìomhach).
air a thoirt a-mach_parts_codes - liosta de chòdan airson toirt air falbh susbaint gnìomhach, buntainneach a-mhàin airson an dòigh ghlan
Còdan airson susbaint a thoirt air falbh bho fhaidhlichean
Code
Tuairisgeul
1025
Rudan Ceangailte
1026
Macros agus an còd
1034
Hyperlinks cugallach
1137
Gnìomhan GoToR PDF
1139
Gnìomhan cur air bhog pdf
1141
Gnìomhan URI pdf
1142
Gnìomhan fuaim pdf
1143
Film gnìomh pdf
1150
Javascript gnìomhan pdf
1151
PDF Cuir a-steach Foirm Gnìomhan
1018
Ceistean stòr-dàta
1019
Nithean freumhaichte
1021
Sàbhail dàta gu sgiobalta
1017
Togalaichean Custom
1036
Feartan staitistig
1037
Geàrr-chunntas Togalaichean
Gus leth-bhreac glan a luchdachadh sìos, feumaidh tu cuideachd iarrtas tagraidh a dhèanamh (a thèid a dheasbad gu h-ìosal) an dèidh beagan dhiog, a 'sònrachadh meud hash an fhaidhle agus am pàirt às-tharraing ann an teacsa an iarrtais. Faodaidh tu am faidhle glanaidh a thogail leis an id bhon fhreagairt don cheist - extracted_file_download_id. A-rithist, a’ coimhead air adhart beagan, tha mi a’ toirt seachad eisimpleirean de dh’ iarrtas agus freagairt ceist gus id a lorg airson sgrìobhainn a chaidh fhuadach a luchdachadh sìos.
Iarr iarrtas gus an iuchair extracted_file_download_id a lorg
{ "request": [
{
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"features": ["extraction"] ,
"extraction": {
"method": "pdf"
}
}
]
}Freagairt don cheist (lorg iuchair extracted_file_download_id)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "9a346005ee8c9adb489072eb8b5b61699652962c17596de9c326ca68247a8876",
"file_type": "",
"file_name": "",
"features": [
"extraction"
],
"extraction": {
"method": "pdf",
"extract_result": "CP_EXTRACT_RESULT_SUCCESS",
"extracted_file_download_id": "b5f2b34e-3603-4627-9e0e-54665a531ab2",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"time": "0.013",
"extract_content": "Macros and Code",
"extraction_data": {
"input_extension": "xls",
"input_real_extension": "xls",
"message": "OK",
"output_file_name": "kp-20-xls.cleaned.xls.pdf",
"protection_name": "Potential malicious content extracted",
"protection_type": "Conversion to PDF",
"protocol_version": "1.0",
"risk": 5.0,
"scrub_activity": "Active content was found - XLS file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0.0,
"scrub_time": "0.013",
"scrubbed_content": "Macros and Code"
},
"tex_product": false,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Fiosrachadh coitcheann
Ann an aon ghairm API, chan urrainn dhut ach aon fhaidhle a chuir airson dearbhadh.
Chan fheum an earrann av earrann a bharrachd le iuchraichean, tha e gu leòr airson a shònrachadh anns an fhaclair feartan.
Iarr gairm API
Dòigh air a chleachdadh - DÈIDH
Seòladh fòn - https:///tecloud/api/v1/file/query
Mus cuir thu faidhle airson luchdachadh sìos (iarrtas luchdachadh suas), tha e ciallach sgrùdadh a dhèanamh air tasgadan a’ bhogsa gainmhich (iarrtas ceist) gus an luchd air an t-seirbheisiche API a mheudachadh, oir is dòcha gu bheil fiosrachadh agus co-dhùnadh aig an t-seirbheisiche API mu thràth air an fhaidhle a chaidh a luchdachadh sìos. Chan eil anns a’ ghairm ach pàirt teacsa. Is e am pàirt riatanach den iarrtas suim sha1/sha256/md5 hash den fhaidhle. Co-dhiù, gheibh thu e mar fhreagairt don iarrtas luchdaich suas.
Co-dhiù a tha a dhìth airson a 'cheist
POST HTTP
https:///tecloud/api/v1/file/query
Cinn-cinn:
Ceadachadh:
buidheann
{
"iarrtas": {
"sha256":
}
}
Eisimpleir de fhreagairt do iarrtas luchdaich suas, far a bheil suimean hash sha1/md5/sha256 rim faicinn
{
"response": {
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
},
"sha1": "954b5a851993d49ef8b2412b44f213153bfbdb32",
"md5": "ac29b7c26e7dcf6c6fdb13ac0efe98ec",
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "",
"file_name": "kp-20-doc.doc",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1002,
"label": "UPLOAD_SUCCESS",
"message": "The file was uploaded successfully."
}
}
}
}Bu chòir don iarrtas ceiste, a bharrachd air an t-suim hash, a bhith co-ionann ris an iarrtas luchdaich suas (no thathar an dùil a bhith), no eadhon “mar-thà” (tha nas lugha de raointean san iarrtas ceiste na tha san iarrtas luchdaich suas). Ma tha barrachd raointean anns an iarrtas ceist na bha san iarrtas luchdaich suas, chan fhaigh thu am fiosrachadh gu lèir a tha a dhìth san fhreagairt.
Seo eisimpleir de fhreagairt do cheist far nach deach a h-uile dàta riatanach a lorg
{
"response": [
{
"status": {
"code": 1006,
"label": "PARTIALLY_FOUND",
"message": "The request cannot be fully answered at this time."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te",
"extraction"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
},
"extraction": {
"method": "pdf",
"tex_product": false,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Thoir aire do na raointean code и label. Bidh na raointean sin a’ nochdadh trì tursan ann am faclairean inbhe. An toiseach chì sinn an iuchair chruinneil “còd”: 1006 agus “label”: “PARTIALLY_FOUND”. An ath rud, lorgar na h-iuchraichean sin airson gach pàirt fa leth a dh’ iarr sinn - te agus às-tharraing. Agus ma tha e soilleir gun deach an dàta a lorg, chan eil fiosrachadh ann airson às-tharraing.
Seo mar a bha a’ cheist coltach airson an eisimpleir gu h-àrd
{ "request": [
{
"sha256": {{sha256}},
"features": ["te", "extraction"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}Ma chuireas tu iarrtas ceist às aonais a 'phàirt às-tharraing
{ "request": [
{
"sha256": {{sha256}},
"features": ["te"] ,
"te": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": [
"xml", "pdf"
]
}
}
]
}An uairsin bidh fiosrachadh iomlan anns an fhreagairt (“còd”: 1001, “label”: “FAIGHINN”)
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd90",
"file_type": "doc",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious",
"pdf_report": "4e9cddaf-03a4-489f-aa03-3c18f8d57a52",
"xml_report": "9c18018f-c761-4dea-9372-6a12fcb15170"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 1,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
}
]
}Mura h-eil fiosrachadh sam bith san tasgadan, bidh am freagairt “label”: “NOT_FOUND”
{
"response": [
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "313c0feb009356495b7f4a60e96737120beb30e1912c6d866218cee830aebd91",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Ann an aon ghairm API, faodaidh tu grunn shuimean hash a chuir aig an aon àm airson dearbhadh. Tillidh am freagairt dàta san aon òrdugh ’s a chaidh a chuir san iarrtas.
Eisimpleir iarrtas ceist le grunn sha256 suimean
{ "request": [
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81"
},
{
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82"
}
]
}Freagairt do cheist le iomadh suim sha256
{
"response": [
{
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd81",
"file_type": "dll",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 10,
"images": [
{
"report": {
"verdict": "malicious"
},
"status": "found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"combined_verdict": "malicious",
"severity": 4,
"confidence": 3,
"status": {
"code": 1001,
"label": "FOUND",
"message": "The request has been fully answered."
}
}
},
{
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
},
"sha256": "b84531d3829bf6131655773a3863d6b16f6389b7f4036aef9b81c0cb60e7fd82",
"file_type": "",
"file_name": "",
"features": [
"te"
],
"te": {
"trust": 0,
"images": [
{
"report": {
"verdict": "unknown"
},
"status": "not_found",
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"score": -2147483648,
"status": {
"code": 1004,
"label": "NOT_FOUND",
"message": "Could not find the requested file. Please upload it."
}
}
}
]
}Bheir a bhith ag iarraidh grunn shuimean hash aig an aon àm ann an iarrtas ceist buaidh buannachdail air coileanadh an fhrithealaiche API.
Luchdaich a-nuas an API fòn
Dòigh air a chleachdadh - DÈIDH (a rèir sgrìobhainnean), GET cuideachd ag obair (agus is dòcha gu bheil e a’ coimhead nas loidsigeach)
Seòladh fòn - https:///tecloud/api/v1/file/download?id=
Feumaidh an bann-cinn an iuchair API a dhol seachad, tha corp an iarrtais falamh, thèid an id luchdaich sìos a thoirt seachad anns an t-seòladh URL.
Mar fhreagairt do iarrtas ceist, ma tha an aithris air a chrìochnachadh agus gun deach aithisgean iarraidh nuair a chaidh am faidhle a luchdachadh sìos, bidh an id airson aithisgean a luchdachadh sìos ri fhaicinn. Ma thathar ag iarraidh leth-bhreac glan, bu chòir dhut coimhead airson an id gus an sgrìobhainn ghlan a luchdachadh sìos.
Gu h-iomlan, faodaidh na h-iuchraichean san fhreagairt don cheist anns a bheil an luach id airson luchdachadh a bhith:
-
geàrr-chunntas_aithisg
-
làn_aithisg
-
aithisg_ pdf
-
xml_aithisg
-
air a thoirt a-mach_file_download_id
Gu dearbh, gus na h-iuchraichean sin fhaighinn mar fhreagairt don iarrtas tagraidh, feumaidh iad a bhith air an sònrachadh san iarrtas (airson aithisgean) no cuimhnich iarrtas a dhèanamh a ’cleachdadh a’ ghnìomh às-tharraing (airson sgrìobhainnean glan).
Call Quota API
Dòigh air a chleachdadh - DÈIDH
Seòladh fòn - https:///tecloud/api/v1/file/quota
Gus sùil a thoirt air a’ chuota a tha air fhàgail san sgòth, cleachd a’ cheist chuota. Tha corp an iarrtais falamh.
Eisimpleir de fhreagairt air iarrtas cuota
{
"response": [
{
"remain_quota_hour": 1250,
"remain_quota_month": 10000000,
"assigned_quota_hour": 1250,
"assigned_quota_month": 10000000,
"hourly_quota_next_reset": "1599141600",
"monthly_quota_next_reset": "1601510400",
"quota_id": "TEST",
"cloud_monthly_quota_period_start": "1421712300",
"cloud_monthly_quota_usage_for_this_gw": 0,
"cloud_hourly_quota_usage_for_this_gw": 0,
"cloud_monthly_quota_usage_for_quota_id": 0,
"cloud_hourly_quota_usage_for_quota_id": 0,
"monthly_exceeded_quota": 0,
"hourly_exceeded_quota": 0,
"cloud_quota_max_allow_to_exceed_percentage": 1000,
"pod_time_gmt": "1599138715",
"quota_expiration": "0",
"action": "ALLOW"
}
]
}API Bacadh Cunnart airson Geata Tèarainteachd
Chaidh an API seo a leasachadh ron API Bacadh Cunnart agus chan eil e ach airson innealan ionadail. Airson a-nis chan urrainn dha a bhith feumail ach ma tha feum agad air an Threat Extraction API. Airson Emulation Cunnart tha e nas fheàrr an API Casg Cunnart cunbhalach a chleachdadh. Gus tionndadh air TP API airson SG agus rèiteachadh an iuchair API a dh'fheumas tu gus na ceumannan a leantainn . Tha mi a’ moladh aire a thoirt do cheum 6b agus sùil a thoirt air ruigsinneachd na duilleige https://<IPAddressofSecurityGateway>/UserCheck/TPAPI oir ma tha toradh àicheil ann, chan eil tuilleadh rèiteachaidh a’ dèanamh ciall. Thèid a h-uile gairm API a chuir chun url seo. Tha an seòrsa gairm (luchdachadh suas / ceist) air a riaghladh ann an iuchair buidheann gairm - iarrtas_ainm. Tha iuchraichean riatanach cuideachd - iuchair_api (feumaidh tu cuimhneachadh air tron phròiseas rèiteachaidh) agus protocol_dreach (Is e 1.1 an tionndadh làithreach). Gheibh thu na sgrìobhainnean oifigeil airson an API seo aig . Tha buannachdan coimeasach a’ toirt a-steach comas grunn fhaidhlichean a chuir aig an aon àm airson aithris nuair a bhios iad gan luchdachadh, leis gu bheil na faidhlichean air an cur mar sreang teacsa base64. Gus faidhlichean a chòdachadh / a chòdachadh gu / bho base64 faodaidh tu inneal-tionndaidh air-loidhne a chleachdadh ann am Postman airson adhbharan taisbeanaidh, mar eisimpleir - . Airson adhbharan practaigeach, bu chòir dhut na dòighean còdaidh agus dì-chòdachadh togte a chleachdadh nuair a bhios tu a’ sgrìobhadh còd.
A-nis leig dhuinn sùil nas mionaidiche a thoirt air na gnìomhan te и às-tharraing san API seo.
Airson co-phàirt te faclair air a thoirt seachad te_roghainnean ann an iarrtasan luchdachadh suas / ceist, agus tha na h-iuchraichean san iarrtas seo gu tur an aon rud ris na h-iuchraichean te a-steach .
Eisimpleir iarrtas airson aithris faidhle ann an Win10 le aithisgean
{
"request": [{
"protocol_version": "1.1",
"api_key": "<api_key>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "<filename>",
"te_options": {
"images": [
{
"id": "10b4a9c6-e414-425c-ae8b-fe4dd7b25244",
"revision": 1
}
],
"reports": ["summary", "xml"]
}
}
]
}Airson co-phàirt às-tharraing faclair air a thoirt seachad scrub_roghainnean. Tha an t-iarrtas seo a’ sònrachadh an dòigh glanaidh: tionndaidh gu PDF, soilleir susbaint gnìomhach, no tagh modh a rèir a’ phròifil Bacadh Cunnart (tha ainm a’ phròifil air a chomharrachadh). Is e an rud sgoinneil mu bhith a’ freagairt iarrtas API às-tharraing airson faidhle gum faigh thu leth-bhreac glan mar fhreagairt don iarrtas sin mar shreang crioptaichte base64 (cha leig thu leas iarrtas ceist a dhèanamh agus coimhead suas an id gus an luchdachadh sìos sgrìobhainn)
Eisimpleir de iarrtas airson faidhle a ghlanadh
{
"request": [{
"protocol_version": "1.1",
"api_key": "<API_KEY>",
"request_name": "UploadFile",
"file_enc_data": "<base64_encoded_file>",
"file_orig_name": "hi.txt",
"scrub_options": {
"scrub_method": 2
}
}]
}Freagair iarrtas
{
"response": [{
"protocol_version": "1.1",
"src_ip": "<IP_ADDRESS>",
"scrub": {
"file_enc_data": "<base64_encoded_converted_to_PDF_file>",
"input_real_extension": "js",
"message": "OK",
"orig_file_url": "",
"output_file_name": "hi.cleaned.pdf",
"protection_name": "Extract potentially malicious content",
"protection_type": "Conversion to PDF",
"real_extension": "txt",
"risk": 0,
"scrub_activity": "TXT file was converted to PDF",
"scrub_method": "Convert to PDF",
"scrub_result": 0,
"scrub_time": "0.011",
"scrubbed_content": ""
}
}]
} A dh'aindeoin 's gu bheil nas lugha de dh'iarrtasan API a dhìth airson lethbhreac glaiste fhaighinn, tha mi a' faicinn an roghainn seo nas fheàrr agus nas goireasaiche na an t-iarrtas foirm-dàta a thathar a' cleachdadh ann an .
Cruinneachaidhean Postman
Chruthaich mi cruinneachaidhean ann am Postman airson an dà chuid an API Bacadh Cunnart agus an API Bacadh Cunnart airson Geata Tèarainteachd, a tha a’ riochdachadh na h-iarrtasan API as cumanta. Gus an tèid API agus iuchair an fhrithealaiche ip/url a chuir a-steach gu fèin-ghluasadach ann an iarrtasan, agus an t-suim hash sha256 a bhith air a chuimhneachadh às deidh dhut am faidhle a luchdachadh sìos, chaidh trì caochladairean a chruthachadh taobh a-staigh nan cruinneachaidhean (gheibh thu iad le bhith a’ dol gu na roghainnean cruinneachaidh Deasaich -> caochlaidhean): te_api (riatanach), api_key (riatanach a lìonadh a-steach, ach a-mhàin nuair a bhios tu a’ cleachdadh TP API le innealan ionadail), sha256 (fàg falamh, gun a chleachdadh ann an TP API airson SG).
Eisimpleirean cleachdaidh
Anns a’ choimhearsnachd tha sgriobtaichean sgrìobhte ann am Python air an taisbeanadh a nì sgrùdadh air faidhlichean bhon eòlaire a tha thu ag iarraidh tro , agus . Tro eadar-obrachadh leis an API Bacadh Cunnart, tha do chomas air faidhlichean a sganadh air a leudachadh gu mòr, oir a-nis is urrainn dhut faidhlichean a sganadh ann an grunn àrd-ùrlaran aig an aon àm (sgrùdadh a-steach). , agus an uairsin ann am bogsa gainmhich Check Point), agus faigh faidhlichean chan ann a-mhàin bho thrafaig lìonra, ach cuideachd thoir iad bho dhràibhearan lìonra sam bith agus, mar eisimpleir, siostaman CRM.
Source: www.habr.com